Я провел два дня на подстанции, подключая крупную офшорную ветряную электростанцию к сети. В диспетчерской стояли панели с ИИ, но был и старый ноутбук с Windows 7. Это проблема видимости, которую ИИ не решит без реальных данных ОТ. — csoonline.com
Я провел два дня на подстанции, подключая крупную офшорную ветряную электростанцию к общей сети. В диспетчерской стояли три новых панели, готовых к работе с ИИ, и директива совета директоров — «использовать машинное обучение для повышения отказоустойчивости». Там же находился сервисный ноутбук с Windows 7, буквально приклеенный скотчем к внутренней стороне шкафа, потому что липучка оторвалась.
Этот ноутбук был единственным устройством в здании, которое все еще могло обмениваться данными с устаревшими релейными защитами, охраняющими подключение к сети. Обновлений не было с 2017 года. Не было EDR. Не было возможности внедрить модель безопасности на основе агентов.
Я видел нечто подобное на объектах энергетических компаний, автомобильных заводов и фармацевтических предприятий в разных секторах и странах на протяжении десяти лет. Панели меняются; «забытый» ноутбук остается. Это огромный пробел в наблюдаемости, который не сможет устранить ни одна большая языковая модель. Согласно отчету Dragos OT Cybersecurity Year in Review за 2026 год, менее 10 процентов сетей операционных технологий (ОТ) по всему миру в настоящее время имеют адекватный сетевой мониторинг. В 30 процентах случаев реагирования на инциденты в прошлом году расследование начиналось не с оповещения системы обнаружения, а с того, что кто-то на производстве замечал, что «что-то не так».
Если вы руководитель высшего звена, планирующий стратегию безопасности на основе ИИ, вы должны осознать: ваша стратегия потерпит неудачу не потому, что ИИ недостаточно умен. Она потерпит неудачу, потому что ваши самые критически важные телеметрические данные до него просто не дойдут.
Перевернутая триада CIA: где ИИ порождает галлюцинации о рисках
В сфере ИТ мы отдаем приоритет конфиденциальности, целостности и доступности. В ОТ — операционных технологиях — триада перевернута: доступность — это всё.
Именно здесь инструменты безопасности на базе ИИ незаметно дают сбой. Модель, обученная на корпоративных телеметрических данных — логах HTTP, DNS и событий Windows — при анализе сегмента Modbus или PROFINET пометит совершенно нормальный промышленный трафик как аномалию. Если этот ИИ подключен к автоматизированному сценарию реагирования, вы создали систему, способную остановить производственную линию быстрее любого хакера.
Во время симуляции, которую я проводил для автомобильного поставщика первого уровня, я наблюдал, как платформа SOAR пыталась сделать именно это. ИТ-руководитель был в восторге от «времени отклика в миллисекунды». Начальник цеха поседел, когда понял, что ИИ только что смоделировал простой простой стоимостью в шестизначную сумму в час, изолировав критически важный ПЛК. В промышленном мире автоматизированная команда «изолировать хост» часто неотличима от атаки типа «отказ в обслуживании» (denial-of-service).
Пассивный мониторинг против «тычка» контроллера
Когда я оценивал платформы мониторинга ОТ, такие как Nozomi Networks, Claroty или Microsoft Defender for IoT, технические различия часто имели меньшее значение, чем один критический вопрос: требует ли этот инструмент активных запросов?
В зале заседаний «активное сканирование» звучит эффективно. На работающем производстве «тычок» в 15-летний Siemens S7-300 или контроллер Rockwell Automation для извлечения метаданных может привести к сбою устройства. Я видел, как половина претендентов отсеивалась, потому что их ИИ-движки требовали активного опроса, на который директор по производству отказался дать согласие.
Чтобы ИИ работал в ОТ, он должен питаться данными пассивного сетевого мониторинга. Вам нужен необработанный трафик с Уровней 0–2 Архитектуры Purdue Enterprise Reference Architecture — многоуровневой модели, определяющей границу между системами ИТ и ОТ. Без этой телеметрии вы занимаетесь моделированием языка на пустом корпусе. Вы не видите протоколы S7Comm или DNP3, которые на самом деле управляют физическим миром.
Самые ценные активы проще, чем вы думаете
Проекты, которые, по моему опыту, оказываются успешными, начинаются не с 300-страничной дорожной карты по ИИ. Они начинаются с беспощадной фокусировки на том, что я называю «самыми ценными активами» (crown jewels).
Я всегда задаю начальникам цехов один и тот же вопрос: какие три процесса вы абсолютно не можете позволить себе потерять даже на час? Для электросетевой компании это не биллинговая система; это релейные защиты. На фармацевтическом объекте — одна ферментационная линия. На автомобильном заводе — сварочная ячейка, которая питает весь кузовной цех.
Как только вы их определите, область применения ИИ сужается от «всего» до «того, что действительно важно». Затем мы применяем виртуальное исправление (virtual patching) для защиты не подлежащих обновлению машин с Windows 7 и сегментируем сеть так, чтобы умная кофемашина в комнате отдыха — которая получает больше обновлений безопасности, чем промышленные роботы — не могла получить доступ к человеко-машинному интерфейсу.
Вот что удивляет большинство CIO: список самых ценных активов почти всегда короче, чем предсказывает команда безопасности, и почти всегда длиннее, чем признает производственная команда. На одном объекте, где я работал в прошлом году, служба безопасности насчитала в таблице 47 «критических» систем. Директор завода, после двадцати минут откровенного разговора, назвал шесть. Остальные 41 были важны, но не являлись самыми ценными активами. Им не требовалось обнаружение аномалий в реальном времени на базе ИИ. Им требовалась ежемесячная отчетность о соответствии требованиям. Смешение этих двух требований — это то, как бюджеты на безопасность ОТ сгорают без измеримого снижения рисков.
Сдвиг в культуре: от фишинга к физике
Самый продуктивный семинар, который я провел в этом году, не включал ни одного поставщика ИИ. Это было настольное упражнение по отслеживанию пути программы-вымогателя от фишингового письма до USB-накопителя подрядчика, затем на сервисный ноутбук и, наконец, до ПЛК.
Мы картировали это поминутно. Минута ноль: сотрудник отдела закупок открывает вложение со счетом. Минута восьмая: вредоносное ПО достигает ноутбука подрядчика в офисной сети. Минута четырнадцатая: подрядчик подключает тот же ноутбук к VLAN для обслуживания, чтобы обновить прошивку HMI, как он делает это каждый вторник. Минута двадцать третья: программа-вымогатель шифрует инженерную рабочую станцию. Минута тридцать первая: операторы замечают, что экраны гаснут, но производство продолжает работать на ПЛК — потому что контроллерам ОТ не нужен Windows для выполнения своей работы. Иллюзия нормальности сохраняется почти час. Затем кто-то пытается задать уставку, и ничего не происходит.
Это был момент, который изменил обстановку в помещении. Руководитель производства провел утро, спрашивая, зачем им еще один проект по безопасности. Теперь он спрашивал, как скоро они смогут обнаружить ситуацию на восьмой минуте, до того, как ноутбук подрядчика вообще коснется сети обслуживания. ИТ-руководитель, который годами защищал свой ритуал «обновление во вторник в 2 часа ночи», наконец понял, почему этот ритуал невозможен на объекте, работающем 24/7. Разный словарный запас, одна и та же проблема.
Впервые на любом совещании на этом объекте менеджер по ОТ и менеджер по ИТ покинули комнату с общей хронологией инцидента, а не с общей картой обвинений. Вот как выглядит реальное изменение культуры в промышленной безопасности — не документ о политике, а настольное упражнение с достаточной детализацией, чтобы никто не мог спрятаться за собственным жаргоном.
Главное для CIO и CSO
Поскольку государственные субъекты, такие как Volt Typhoon, все чаще используют методы «жизни за счет земли» (living off the land) для внедрения в критическую инфраструктуру, как подробно описано в недавних консультативных заключениях CISA, роскошь игнорирования цеха исчезла. ИИ может помочь нам найти эти угрозы, но только если телеметрия реальна. Если вы хотите, чтобы ИИ приносил реальную пользу бизнесу в промышленных средах, порядок действий не подлежит обсуждению.
Во-первых, инвентаризация: составьте карту цеха, а не слайдов. Во-вторых, сегментация: перекройте пути от комнаты отдыха до ПЛК. В-третьих, пассивная телеметрия: снабдите ИИ реальными промышленными протоколами с Уровней 0–2 по Purdue. Затем, и только затем, наложите сверху языковую модель.
Пропустите эти шаги, и вы построите очень дорогую панель мониторинга для сети, которую вы по-прежнему не видите.
Эта статья публикуется в рамках сети экспертов-контрибьюторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sabine Frömling